Check Point Research zufolge ist Cavern in einen Kernagenten und mehrere Module aufgeteilt. Der Cavern Agent übernimmt die grundlegende Kommunikation, während zusätzliche Cavern-Module für aufgabenspezifische Funktionen nachgeladen werden. Diese Trennung ermöglicht es den Angreifern laut Check Point, Einsätze an das jeweilige Opferprofil anzupassen und Module für Aufklärung, Datendiebstahl, Tunneling und laterale Bewegung gezielt bereitzustellen.
Die von Check Point dokumentierte Angriffskette beginnt mit der Update-Funktion von SysAid. Diese werde missbraucht, um eine DLL-Side-Loading-Kette anzustoßen, an deren Ende eine trojanisierte DLL mit dem Namen „uxtheme.dll“ ausgeführt wird, die den Cavern Agent enthält. Der Agent lädt anschließend ein eigenständiges Kommunikationsmodul namens „n-HTCommp.dll“, um mit dem C2-Server „hospitalinstallation[.]com“ Kontakt aufzunehmen und weitere Post-Exploitation-Module dynamisch über HTTPS oder WebSocket nachzuladen.
Nach Angaben von Check Point wurden bis zu fünf DLL-Module entdeckt. Auffällig sei die Verwendung von drei unterschiedlichen .NET-Kompilierungszielen innerhalb des Frameworks: Während mhm.dll, db.dll und ode.dll reine .NET-Framework-Module sind, nutzen n-HTCommp.dll, n-ten.dll und n-sws.dll Native-AOT-Kompilierung. Der Hauptagent uxtheme.dll kombiniert verwalteten .NET-Code mit nativem C++ in einer einzigen portablen ausführbaren Datei.
Im Agenten steckt zudem ein einheitlicher Moduldienst, der Komponenten mit Namen, die mit „n-“ beginnen, als native DLLs behandelt und über die Windows-API LoadLibraryA lädt. Alle übrigen Komponenten werden als verwaltete .NET-Assemblies interpretiert und per AppDomain-Isolation geladen. Gerade diese ungewöhnlichen Kompilierungsformate in Verbindung mit AppDomain-Isolation beschreibt Check Point als Anti-Analyse- und Anti-Forensik-Maßnahmen.
Bei den von Cavern Manticore orchestrierten Angriffen beobachtete Check Point, dass sich die Akteure von einem zunächst kompromittierten IT-Anbieter zu einem zweiten Dienstleister weiterbewegten, bevor sie schließlich die eigentliche Zielorganisation erreichten. Das deute darauf hin, dass die Gruppe vertrauenswürdige Beziehungen in der Software-Lieferkette gezielt ausnutzt. Check Point verweist dabei besonders auf Umgebungen, in denen Remote-Monitoring- und -Management-Lösungen eingesetzt werden. Durch den Missbrauch solcher Werkzeuge könnten sich die Angreifer seitlich zwischen Opfern bewegen und Schadsoftware als legitime Updates tarnen.
Darüber hinaus erklärte Check Point, dass der Akteur offenbar browserbasierte Remote-Desktop-Techniken nutzt, um auf interessante Ziele zuzugreifen. In einigen Fällen würden zudem eingebaute Funktionen wie Remote-Druck missbraucht, um Daten auszuleiten, wenn Kopieren und Einfügen über die Zwischenablage oder Dateiübertragungen eingeschränkt sind.
Der Bericht erscheint vor dem Hintergrund der andauernden gemeinsamen Militäroperation Israels und der USA gegen Iran. In den vergangenen Monaten wurde der iranische, staatlich unterstützte Akteur MuddyWater zudem dabei beobachtet, mehr als 12.000 aus dem Internet erreichbare Systeme breitflächig aufzuklären, indem bekannte Sicherheitslücken in SmarterMail-, n8n-, N-central-, Langflow- und Laravel-Livewire-Systemen ausgenutzt wurden. Laut Oasis Security entwickelte sich diese Operation von breiter Aufklärung hin zu gezielten Angriffen auf Zugangsdaten und zur Exfiltration sensibler Daten in den Bereichen Luftfahrt, Energie und öffentliche Verwaltung im Nahen Osten, darunter Organisationen in Ägypten, Israel und den Vereinigten Arabischen Emiraten. Oasis Security zufolge kamen dabei eine Kombination aus Schwachstellenausnutzung, Brute-Force-Angriffen auf Outlook Web Access sowie neu identifizierte C2-Controller für Multi-Protokoll-Kommunikation zum Einsatz.
